Modulo 7

Módulo 7: Administrar
el acceso a los objetos

de las unidades
Contenido
organizativas
Introducción 1
Presentación multimedia: La estructura
de unidades organizativas 2
Lección: Modificar los permisos de los
objetos de Active Directory 3
Lección: Delegar el control de las
unidades organizativas 19
Práctica A: Administrar el acceso a los
objetos de las unidades organizativas 29
La información contenida en este documento, incluidas las direcciones URL y otras referencias
a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique
lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo
electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios.
No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones,
productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos
reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor
aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida
en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea
electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin
la previa autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros
derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor,
u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito
de licencia de Microsoft.
© 2003, Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN,

PowerPoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales
de Microsoft Corporation en los Estados Unidos y/o en otros países.
Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus
respectivos propietarios.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas iii
Notas para el instructor

Presentación: La información de este módulo introduce la función de administrar el acceso
105 minutos a los objetos de unidades organizativas. En concreto, el módulo proporciona
a los alumnos los conocimientos teóricos y prácticos necesarios a la hora
Práctica: de explicar los permisos disponibles para administrar el acceso a los objetos del
15 minutos servicio de directorio Active Directory®, para mover los objetos entre las
unidades organizativas del mismo dominio y delegar el control de una unidad
organizativa.
Después de completar este módulo, los alumnos serán capaces de:
! Identificar la función de la unidad organizativa.
! Modificar los permisos de los objetos de Active Directory.
! Delegar el control de las unidades organizativas.
Material necesario Para impartir este módulo, necesitará el material siguiente:

! El archivo de Microsoft® PowerPoint® 2146a_07.ppt
! La presentación multimedia La estructura de unidades organizativas
Tareas de preparación Para preparar este módulo, debe:

! Leer todo el material del mismo.
! Completar los ejercicios y la práctica.
! Repasar La estructura de unidades organizativas.
iv Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
Cómo impartir este módulo

En esta sección se incluye información para ayudarle a impartir este módulo.
Páginas de instrucciones, ejercicios y prácticas

Explique a los alumnos cómo están diseñados las páginas de instrucciones, los
ejercicios y las prácticas de este curso. Cada módulo contiene dos o más
lecciones. La mayoría de las lecciones contienen páginas de instrucciones
y un ejercicio. Después de completar todas las lecciones de un módulo, éste
finaliza con una práctica.
Páginas Las páginas de instrucciones están diseñadas para que el instructor pueda
de instrucciones demostrar la realización de una tarea. Los alumnos no realizan las tareas de las
páginas de instrucciones con el instructor. Usarán estos pasos para realizar
el ejercicio al final de cada lección.
Ejercicios Una vez cubierto el contenido del tema y demostrados los procedimientos de
instrucciones de cada lección, explique a los alumnos que realizarán ejercicios
con objeto de practicar las tareas tratadas durante la lección.
Prácticas Al final de cada módulo, la práctica permite a los alumnos practicar las tareas
tratadas y aplicadas en todo el módulo.
Mediante situaciones de ejemplo aplicables a cada función, la práctica da a los
alumnos una serie de instrucciones en formato de doble columna. La columna
de la izquierda enuncia la tarea (por ejemplo: Crear un grupo). La columna
de la derecha contiene instrucciones específicas que los alumnos necesitarán
para poder realizar la tarea (por ejemplo: En Usuarios y equipos de
Active Directory, haga doble clic en el nodo de dominio).
El CD Material del alumno contiene las respuestas a cada práctica en caso
de que los alumnos necesiten seguir instrucciones paso a paso hasta completar
la práctica. También pueden consultar los ejercicios y las páginas
de instrucciones del módulo.
Presentación multimedia: La estructura de unidades organizativas

Los alumnos están familiarizados con las unidades organizativas en este punto
del curso. Esta presentación amplía los conocimientos de los alumnos con
información acerca del propósito de las estructuras de unidades organizativas
y cómo éstas permiten la delegación de autoridad y la herencia de permisos
y Directivas de grupo.
Ejecute la presentación. Diga a los alumnos que aprenderán más acerca
de la Directivas de grupo en módulos posteriores.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas v
Lección: Modificar los permisos de los objetos de Active Directory

Esta sección describe los métodos con los que el instructor puede impartir esta
lección.
Introducción a la lección En esta lección los alumnos aprenderán cómo modificar los permisos de los
objetos. Compare y contraste las diferencias entre los permisos implícitos
y explícitos y entre permisos estándar y especiales.
Herencia de permisos Tenga a mano ejemplos adicionales de la herencia de permisos. Por ejemplo,
en los objetos de puede usar una estructura de carpetas para demostrar las ventajas de la herencia
Active Directory de permisos.
Lección: Delegar el control de las unidades organizativas

Esta sección describe los métodos con los que el instructor puede impartir esta
lección.
Introducción a la lección En esta lección los alumnos aprenderán a administrar los objetos delegando
el control administrativo. Centre su explicación en los motivos por los cuales
se delega el control de las unidades organizativas y esté preparado para facilitar
ejemplos. Los alumnos usarán un asistente para delegar el control.
Práctica A: Administrar el acceso a los objetos de las unidades

organizativas
Antes de comenzar la práctica, los alumnos deben haber completado todos los
ejercicios.
Recuerde a los alumnos que pueden regresar a las páginas de instrucciones del
módulo si necesitan ayuda. La tabla de respuestas para cada práctica figura
en el CD Material del alumno.
Módulo 7: Administrar el acceso a los objetos de las unidades organizativas 1
Introducción
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción La información de este módulo introduce la función de administrar el acceso
a los objetos de unidades organizativas. En concreto, el módulo proporciona los
conocimientos teóricos y prácticos que necesita a la hora de explicar los
permisos disponibles para administrar el acceso a los objetos del servicio
de directorio Active Directory®, para mover los objetos entre las unidades
organizativas del mismo dominio y delegar el control de una unidad
organizativa.
Objetivos Después de finalizar este módulo, el alumno será capaz de:
! Identificar la función de la unidad organizativa.
! Delegar el control de las unidades organizativas.
2 Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
Presentación multimedia: La estructura de unidades

organizativas
Ubicación del archivo Para ver la presentación La estructura de unidades organizativas, abra
la página Web del disco compacto Material del alumno, haga clic
en Multimedia y, a continuación, en el título de la presentación. No abra esta
presentación a menos que el instructor le pida que lo haga.
Objetivos Después de completar esta lección podrá explicar cómo se utilizan las unidades
organizativas para administrar objetos.
Lección: Modificar los permisos de los objetos de

Active Directory
Introducción Cada objeto de Active Directory tiene un descriptor de seguridad que define
qué cuentas tienen permiso de acceso al objeto y el tipo de acceso que tienen.
La familia Microsoft® Windows ServerTM 2003 utiliza estos descriptores de
seguridad para controlar el acceso a los objetos.
Objetivos de la lección Después de finalizar esta lección, el alumno será capaz de:
! Explicar qué son los permisos de objeto de Active Directory.
! Describir las características de los permisos de objeto de Active Directory.
! Describir la herencia de permisos en los objetos de Active Directory.
! Describir los efectos de modificar objetos en la herencia de permisos.
! Explicar qué son los permisos efectivos para los objetos de
Active Directory.
! Determinar los permisos efectivos de los objetos de Active Directory.
¿Qué son los permisos de los objetos de Active Directory?
Introducción Los permisos de objeto de Active Directory proporcionan seguridad para los
diferentes recursos existentes al permitir controlar qué administradores
o usuarios tienen acceso a objetos individuales o atributos de objeto, así como
el tipo de acceso permitido. Los permisos se utilizan para asignar privilegios
administrativos a una unidad organizativa o jerarquía de unidades organizativas,
con el fin de administrar el acceso a la red. También se pueden usar los
permisos para asignar privilegios administrativos sobre un único objeto
a un usuario o grupo específico.
Permisos estándar Los permisos estándar son los permisos concedidos con mayor frecuencia,
y especiales y se componen de una serie de permisos especiales. Los permisos especiales
proporcionan un mayor grado de control sobre el tipo de acceso que se puede
conceder sobre un objeto. Los permisos estándar deben incluir lo siguiente:
! Control total
! Escribir
! Leer
! Crear todos los objetos secundarios
! Eliminar todos los objetos secundarios
Acceso autorizado Un administrador o el propietario del objeto deben conceder permisos sobre
según permisos dicho objeto para que los usuarios tengan acceso a él. La familia
Windows Server 2003 almacena una lista de permisos de acceso de los
usuarios, denominada lista de control de acceso discrecional (DACL,
Discretionary Access Control List), por cada objeto de Active Directory.
La lista DACL de un objeto enumera los usuarios que tienen acceso al objeto
y las acciones específicas que cada usuario puede realizar sobre el mismo.
Lectura adicional Para obtener más información sobre los permisos en Active Directory, consulte
“Best practices for assigning permissions on Active Directory objects”
en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp
(en inglés).
Características de los permisos de objeto de Active Directory
Introducción Si bien los permisos NTFS (NTFS file system) y los permisos de objeto
de Active Directory son similares, algunas características son específicas de los
permisos de objetos de Active Directory. Los permisos de objeto de
Active Directory pueden concederse o denegarse, denegarse implícita o
explícitamente, establecerse como permisos estándar o especiales y definirse en
el nivel de objeto o heredarse de su objeto principal.
Conceder y denegar Los permisos se pueden conceder o bien denegar. Los permisos denegados
permisos tienen prioridad sobre cualquier otro permiso que se conceda a las cuentas
de usuario y de grupo. Sólo se deben denegar los permisos cuando sea necesario
quitar un permiso que un usuario tuviese concedido por ser miembro
de un grupo.
Permisos implícitos Se pueden denegar permisos implícita o explícitamente de la manera siguiente:
y explícitos
! Cuando no se concede explícitamente el permiso para realizar una
operación, se considera denegado implícitamente.
Por ejemplo, si el grupo Marketing tiene permiso Leer para un objeto
de usuario y no aparece ninguna otra entidad principal de seguridad
en la lista DACL para ese objeto, los usuarios que no sean miembros del
grupo Marketing tendrán denegado el acceso de forma implícita. El sistema
operativo no permite a los usuarios que no son miembros del grupo
Marketing leer las propiedades del objeto de usuario.
! Se deniega explícitamente un permiso cuando se desea impedir que
un subconjunto de un grupo más grande de usuarios pueda realizar una tarea
que el grupo de mayor tamaño tiene permiso para realizar.
Por ejemplo, puede ser necesario impedir que un usuario Don vea las
propiedades de un objeto de usuario. Sin embargo, Don es miembro del
grupo Marketing, con permiso para ver las propiedades del objeto
de usuario. Puede impedir que Don vea las propiedades del objeto
de usuario denegándole explícitamente el permiso Leer.
Permisos estándar La mayoría de las tareas relativas a los permisos de objeto de Active Directory
y especiales pueden configurarse mediante permisos estándar. Estos permisos son los usados
más frecuentemente; sin embargo, si se necesita conceder un nivel más ajustado
de recursos, puede recurrirse a los permisos especiales.
Permisos heredados Cuando se establecen los permisos en un objeto principal, los nuevos objetos
heredan los permisos del objeto principal. Es posible quitar los permisos
heredados, pero también se pueden volver a habilitar si así se desea.
Herencia de permisos en los objetos de Active Directory
Ventajas de la herencia Un objeto principal es cualquier objeto que posea una relación con otro objeto,
de permisos al que se denomina objeto secundario. Un objeto secundario hereda los
permisos del objeto principal. La herencia de permisos en Active Directory
minimiza el número de ocasiones en las que es necesario conceder permisos
sobre objetos.
La herencia de permisos en Windows Server 2003 simplifica la tarea
de administrar los permisos de varias maneras:
! No es necesario aplicar permisos manualmente a los objetos secundarios
al crearlos.
! Los permisos aplicables a un objeto principal se aplican de forma coherente
a todos sus objetos secundarios.
! Cuando se requiere modificar los permisos de todos los objetos
de un contenedor, solo es necesario modificar los permisos del objeto
principal. Los objetos secundarios heredan automáticamente esos cambios.
Efectos de modificar los objetos en la herencia de permisos
Introducción Modificar los objetos de Active Directory afecta a la herencia de permisos.
Como administrador de sistemas se le pedirá que mueva los objetos entre
distintas unidades organizativas de Active Directory cada vez que cambien las
funciones organizativas o administrativas. Al hacerlo, los permisos heredados
también cambiarán. Es un requisito esencial conocer estas consecuencias antes
de modificar los objetos de Active Directory.
Efectos de mover Al mover objetos entre unidades organizativas, las siguientes condiciones deben
objetos tenerse en cuenta:
! Los permisos que se establecen explícitamente permanecen iguales.
! Un objeto hereda los permisos de la unidad organizativa a la que se mueve.
! Un objeto no hereda los permisos de la unidad organizativa desde la cual
se ha movido.
Nota Al modificar objetos de Active Directory pueden moverse varios objetos

al mismo tiempo.
Impedir la herencia Se puede impedir la herencia de permisos para que un objeto secundario
de permisos no herede los permisos de su objeto principal. Al impedir la herencia sólo
se aplicarán los permisos que se establezcan explícitamente.
Al impedir la herencia de permisos, la familia Windows Server 2003 permite:
! Copiar los permisos heredados en el objeto. Los nuevos permisos son
permisos explícitos para ese objeto. Son una copia de los permisos que
el objeto heredó anteriormente de su objeto principal. Después de copiar los
permisos heredados, se puede hacer cualquier cambio necesario en ellos.
! Quitar los permisos heredados del objeto. Al quitar estos permisos
se eliminan todos los permisos del objeto. A continuación se puede
conceder el permiso que se desee para ese objeto.
¿Cómo modificar los permisos de los objetos de Active Directory?
Introducción Windows Server 2003 determina si un usuario está autorizado a usar un objeto
al comprobar los permisos concedidos al usuario sobre ese objeto, que aparecen
en la lista DACL. Al conceder o denegar permisos sobre un objeto esta
configuración anula los permisos heredados de un objeto principal.
Procedimiento para Para agregar permisos sobre un objeto:
agregar permisos
1. Si no está ya activada la opción Características avanzadas, vaya a Usuarios
y equipos de Active Directory y, en el menú Ver, haga clic
en Características avanzadas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse
(ratón) en el objeto y después haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic
en Agregar.
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos,
en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba
el nombre del usuario o grupo al que desee conceder permisos y haga clic
en Aceptar.
Procedimiento para Para modificar un permiso existente:

modificar permisos
1. Si no está ya activada la opción Características avanzadas, vaya a Usuarios
y equipos de Active Directory y, en el menú Ver, haga clic en
Características avanzadas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse
en el objeto y después haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, en el cuadro
Permisos, active la casilla Permitir o Denegar para cada permiso que
desee conceder o denegar.
Procedimiento para ver Los permisos estándar son suficientes para la mayoría de las tareas
permisos especiales administrativas. Sin embargo, puede que sea necesario ver los permisos
especiales que constituyen un permiso estándar.
Para ver los permisos especiales:
1. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
2. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos, haga clic en la entrada que desee ver y después haga clic
en Modificar.
3. Para ver los permisos de atributos específicos, en el cuadro de diálogo
Entrada de permiso, haga clic en la ficha Propiedades.
Procedimiento para Para modificar la herencia de permisos:

modificar la herencia
de permisos 1. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
Permisos, haga clic en la entrada que desee ver y después haga clic
en Modificar.
3. En el cuadro de diálogo Entrada de permiso, en la ficha Objeto,
en el cuadro Aplicar en, seleccione la opción que desee.
¿Qué son los permisos efectivos para los objetos de

Active Directory?
Introducción Puede utilizar la herramienta Permisos efectivos para determinar cuáles son
los permisos de un objeto de Active Directory. La herramienta calcula los
permisos que se conceden al usuario o grupo especificado y toma en cuenta
los permisos en vigor como consecuencia de la pertenencia a grupos, así como
los permisos heredados de objetos principales.
Características Los permisos efectivos para los objetos de Active Directory tienen las
siguientes características:
! Los permisos acumulativos son una combinación de permisos de
Active Directory concedidos a las cuentas de usuario y de grupo.
! Los permisos denegados anulan a todos los permisos heredados. Los
permisos asignados explícitamente tienen siempre prioridad.
! Cada objeto tiene un propietario, ya se encuentre en un volumen NTFS
o en Active Directory. El propietario controla cómo se establecen los
permisos en el objeto y a quién se conceden.
El grupo Administradores es el propietario de los objetos predeterminados
de Active Directory. El propietario siempre puede cambiar los permisos de
un objeto, aun cuando él mismo tenga denegado el acceso al objeto.
El propietario actual puede conceder el permiso Tomar posesión a otro
usuario, el cual le permite asumir la propiedad de ese objeto en cualquier
momento. El usuario puede tomar posesión efectivamente para completar
la transferencia de la propiedad.
Recuperar permisos Para recuperar información sobre los permisos efectivos en Active Directory
efectivos necesita el permiso de lectura de la información de pertenencia a grupos.
Si el usuario o grupo especificado es un objeto de dominio, debe disponer
de permiso para leer la información de pertenencia del objeto en el dominio.
Los usuarios siguientes tienen los correspondientes permisos de dominio
predeterminados:
! Los administradores de dominio tienen permiso para leer la información
de pertenencia en todos los objetos.
! Los administradores locales de una estación de trabajo o servidor
independiente no pueden leer la información de pertenencia para un usuario
de dominio.
! Los usuarios autentificados de un dominio pueden leer la información
de pertenencia sólo cuando éste se encuentre en un modo de compatibilidad
anterior a Windows® 2000.
¿Cómo determinar los permisos efectivos para los objetos

de Active Directory?
Introducción Utilice el procedimiento siguiente para ver el registro de permisos efectivos
de los objetos de Active Directory.
Procedimiento Para ver el registro de permisos efectivos:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, vaya
hasta la unidad organizativa u objeto cuyos permisos efectivos desee ver.
2. Haga clic con el botón secundario del mouse en la unidad organizativa
u objeto y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic
en Opciones avanzadas.
Permisos efectivos, haga clic en Seleccionar.
5. En el cuadro de diálogo Seleccionar Usuario, Equipo o Grupo, en Escriba
el nombre de objeto a seleccionar, escriba el nombre de un usuario
o grupo y haga clic en Aceptar.
Las casillas de verificación activadas indican los permisos efectivos del
usuario o grupo en ese objeto.
Lectura adicional Para obtener más información sobre los permisos efectivos, consulte “Effective
Permissions tool” en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/acl_effective_perm.asp
(en inglés).
Ejercicio: Modificar los permisos de los objetos de Active Directory
Objetivo En este ejercicio, se ocupará de:
! Quitar los permisos heredados de la unidad organizativa de su ciudad.
! Documentar los cambios de seguridad efectuados en la unidad organizativa
de su ciudad.
Instrucciones Antes de comenzar este ejercicio:

! Inicie sesión en el dominio mediante la cuenta NombreEquipoUser.
! Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (ejemplo:
LondonAdmin).
! Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
! Asegúrese de que está viendo las características avanzadas de Usuarios
y equipos de Active Directory.
! Repase los procedimientos de esta lección que describen cómo realizar esta
tarea.
Situación El ingeniero de sistemas de Northwind Traders ha delegado el control

administrativo en los administradores de cada ubicación de NombreEquipo.
Deberá determinar qué permisos hereda su unidad organizativa NombreEquipo
y quitar todos los permisos heredados. Documente el resultado de cada uno
de los pasos de eliminación de los permisos heredados.
Ejercicio ! Documentar la seguridad de la unidad organizativa de su ciudad

1. Abra Usuarios y equipos de Active Directory.
2. Vea la configuración de seguridad de su unidad organizativa NombreEquipo
haciendo lo siguiente:
a. Haga clic con el botón secundario del mouse en su unidad organizativa
NombreEquipo y, a continuación, haga clic en Propiedades.
b. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad.
3. Anote los nombres de usuario o grupo que tengan permisos heredados
o explícitos en la tabla siguiente. Anote S (Sí) en Heredado o Explícito por
cada elemento de la columna Nombres de usuario o grupo.
Un permiso explícito tiene una casilla de verificación activada bajo
Permitir o Denegar. Los permisos que no se pueden modificar y los
permisos heredados tienen esta casilla sombreada.
Nombres de usuario o grupo Heredado Explícito
Ejemplo: Operadores de cuentas S

Operadores de cuentas S
Administradores S
Usuarios autentificados S S
DL NombreEquipo OU Administrators S
Administradores del dominio S
Administradores de organización S
ENTERPRISE DOMAIN S S
CONTROLLERS
Acceso compatible con versiones S
anteriores de Windows 2000
Operadores de impresión S
System S
! Quitar permisos heredados

1. En el cuadro de diálogo Propiedades de la unidad organizativa
de su ciudad, en la ficha Seguridad, haga clic en Opciones avanzadas.
Permisos, desactive la casilla Permitir que los permisos heredables del
primario se propaguen a este objeto y a todos los objetos secundarios.
Incluirlos junto con las entradas indicadas aquí de forma explícita.
3. En el cuadro de diálogo Seguridad, haga clic en Quitar.
4. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic
en Aceptar.
! Documentar los cambios de seguridad de la unidad organizativa

de su ciudad
1. Abra Usuarios y equipos de Active Directory.
2. Vea la configuración de seguridad de su unidad organizativa NombreEquipo
haciendo lo siguiente:
a. Haga clic con el botón secundario del mouse en su unidad organizativa
NombreEquipo y, a continuación, haga clic en Propiedades.
b. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad.
3. Anote los nombres de usuario o grupo que tengan permisos heredados
o explícitos en la tabla siguiente. Anote S (Sí) en Heredado o Explícito por
cada elemento de la columna Nombres de usuario o grupo.
Un permiso explícito tiene una casilla de verificación activada bajo
Permitir o Denegar. Los permisos que no se pueden modificar y los
permisos heredados tienen esta casilla sombreada.
Nombres de usuario o grupo Heredado Explícito
Ejemplo: Operadores de cuentas

Operadores de cuentas S
Administradores
Usuarios autentificados S
DL NombreEquipo OU Administrators S
Administradores del dominio S
Administradores de organización
ENTERPRISE DOMAIN CONTROLLERS S
Acceso compatible con versiones anteriores
de Windows 2000
Operadores de impresión S
System S
Lección: Delegar el control de las unidades organizativas
Introducción Active Directory permite administrar eficientemente los objetos delegando
el control administrativo sobre los mismos. Puede usar el Asistente para
delegación de control y las consolas personalizadas en Microsoft Management
Console (MMC) con el fin de conceder a usuarios específicos los permisos
necesarios para realizar diferentes tareas administrativas.
Objetivos de la lección Después de finalizar esta lección, el alumno será capaz de:
! Describir qué significa delegar el control de una unidad organizativa.
! Describir el propósito y función del Asistente para delegación de control.
! Delegar el control de una unidad organizativa mediante el Asistente para
delegación de control.
¿Qué es la delegación de control de una unidad organizativa?
Definición La delegación de control es la capacidad de asignar la responsabilidad
de administrar los objetos de Active Directory a otro usuario, grupo
u organización. Al delegar el control se puede eliminar la necesidad de emplear
varias cuentas administrativas con amplios poderes.
Se pueden delegar los siguientes tipos de control:
! Permisos para crear o modificar todas las clases de objetos de una unidad
organizativa específica o en el nivel de dominio
! Permisos para crear o modificar ciertas clases de objetos en una unidad
! Permisos para crear o modificar un objeto específico en una unidad
! Permisos para modificar atributos específicos de ciertas clases de objetos en
una unidad organizativa específica o en el nivel de dominio, como conceder
el permiso para restablecer las contraseñas en una cuenta de usuario
¿Por qué delegar La administración delegada en Active Directory ayuda a hacer más liviana
el control la carga administrativa de dirigir la red, distribuyendo las tareas administrativas
administrativo? de rutina a varios usuarios. Mediante la administración delegada se pueden
asignar las tareas administrativas básicas a los usuarios o grupos habituales
y asignar las tareas administrativas para todo el dominio o bosque a los usuarios
de confianza del grupo Administradores del dominio y Administradores
empresariales.
Al delegar la administración se da a los grupos de la organización un mayor
control de sus recursos de red locales. También ayuda a proteger la red de daños
accidentales o intencionados limitando la pertenencia a los grupos
de administradores.
Formas de definir Se puede definir la delegación del control administrativo de las tres formas
la delegación del control siguientes:
administrativo
! Cambiar las propiedades de un contenedor particular.
! Crear y eliminar objetos de un tipo específico en una unidad organizativa,
como usuarios, grupos o impresoras.
! Actualizar propiedades específicas de los objetos de un determinado tipo
en una unidad organizativa. Por ejemplo, se puede delegar el permiso
de establecer una contraseña en un objeto de usuario o en todos los objetos
de una unidad organizativa.
El Asistente para delegación de control
Introducción El Asistente para delegación de control se utiliza para seleccionar el usuario
o grupo al que se desea delegar el control. También se usa el Asistente para
conceder a los usuarios permisos para controlar unidades organizativas
y objetos y para obtener acceso a objetos y modificarlos.
Delegar permisos Se puede usar el Asistente para delegación de control para conceder permisos
en el nivel de unidad organizativa. Se deben conceder manualmente los
permisos especializados adicionales en el nivel de objeto.
En Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en las unidades organizativas en las que desee delegar el control
y haga clic en Delegar control para iniciar el asistente. También puede
seleccionar la unidad organizativa y hacer clic en Delegar control en el menú
Acción.
Opciones La tabla siguiente describe las opciones del Asistente para delegación
de control.
Opción Descripción
Usuarios o grupos Las cuentas de usuario o grupo en las que desea delegar
el control.
Tareas que se delegarán Lista de tareas comunes o la opción de personalizar una
tarea. Al seleccionar una tarea común, el asistente
resume sus selecciones para completar el proceso
de delegación. Al elegir personalizar una tarea,
el asistente presenta los tipos de objeto y permisos
de Active Directory para que elija.
Tipo de objeto de Todos los objetos, o bien sólo tipos específicos de objeto
Active Directory de la unidad organizativa especificada.
Permisos Los permisos que se van a conceder sobre el objeto
u objetos.
Nota El Asistente para delegación de control puede anexar permisos a una

unidad organizativa si se ejecuta más de una vez. Sin embargo, es necesario
quitar manualmente los permisos delegados.
¿Cómo delegar el control de una unidad organizativa?
Introducción Utilice el Asistente para delegación de control para conceder permisos
en el nivel de unidad organizativa. Se pueden conceder permisos para
administrar objetos o para administrar atributos específicos de dichos objetos.
El Asistente para delegación de control es el método preferido para delegar
el control, ya que reduce la posibilidad de efectos no deseados como
consecuencia de la asignación de permisos.
Procedimiento para Para delegar el control administrativo sobre tareas comunes:
delegar el control sobre
tareas comunes 1. Inicie el Asistente para delegación de control mediante los siguientes pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la cual desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
2. En la página Éste es el Asistente para delegación de control, haga clic
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y haga clic en Siguiente. Si no hay usuarios ni grupos
para seleccionar, haga lo siguiente:
a. Haga clic en Agregar.
b. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos,
en Escriba los nombres de objeto que desea seleccionar, escriba
el nombre de un usuario o grupo y haga clic en Aceptar.
4. En la página Tareas que se delegarán, especifique una o varias de las

tareas siguientes:
• Crear, eliminar y administrar cuentas de usuario
• Restablecer contraseñas de usuario y forzar el cambio de contraseña
en el siguiente inicio de sesión
• Leer toda la información del usuario
• Crear, eliminar y administrar grupos
• Modificar la pertenencia de un grupo
• Administrar vínculos de Directivas de grupo
Nota Se puede delegar una tarea personalizada en usuarios o grupos

haciendo clic en Crear una tarea personalizada para delegar.
5. Haga clic en Siguiente.

6. En la página Finalización del Asistente para delegación de control, haga
clic en Finalizar.
Procedimiento para Para delegar el control administrativo sobre una tarea personalizada:
delegar el control sobre
una tarea personalizada 1. Inicie el Asistente para delegación de control mediante los siguientes pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la cual desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y haga clic en Siguiente.
4. En la página Tareas que se delegarán, haga clic en Crear una tarea
personalizada para delegar y haga clic en Siguiente.
5. En la página Tipo de objeto de Active Directory, haga clic en Siguiente.
6. En la página Permisos, especifique el permiso que desee conceder
a la unidad organizativa o a sus objetos.
Se pueden seleccionar los siguientes tipos de permisos:
• General. Muestra los permisos usados más frecuentemente que están
disponibles para la unidad organizativa seleccionada o sus objetos.
• Específico de la propiedad. Muestra todos los permisos de atributo
aplicables al tipo de objeto.
• Creación o eliminación de objetos secundarios específicos. Muestra los
permisos necesarios para crear nuevos objetos en la unidad organizativa.
7. Haga clic en Siguiente.
clic en Finalizar.
Ejercicio: Delegar el control de una unidad organizativa
Objetivo En este ejercicio, se ocupará de:
! Delegar el control de la unidad organizativa Equipos.
! Probar los permisos delegados para su unidad organizativa Equipos.
! Delegar el control de la unidad organizativa Usuarios.
! Probar los permisos delegados para su unidad organizativa Usuarios.
Instrucciones Antes de comenzar este ejercicio:

LondonAdmin).
Active Directory.
! Repase los procedimientos de esta lección que describen cómo realizar esta
tarea.
Situación Para distribuir la carga de trabajo entre los administradores, Northwind Traders
desea que los administradores sean capaces de realizar tareas específicas en sus
unidades organizativas designadas. Las tareas siguientes deben delegarse
en estas unidades organizativas:
! Unidad organizativa: Locations/NombreEquipo/Equipos
Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa
! Unidad organizativa: Locations/NombreEquipo/Usuarios
Tarea: Restablecer contraseñas de usuario y forzar el cambio de contraseña
Tarea: Leer toda la información de los usuarios
Ejercicio ! Delegar el control de la unidad organizativa Equipos

1. En Usuarios y equipos de Active Directory, en el árbol de la consola, vaya
hasta su unidad organizativa NombreEquipo, haga clic con el botón
secundario del mouse en Equipos y haga clic en Delegar control.
en Siguiente.
3. En la página Usuarios o grupos, agregue NombreEquipoUser y haga clic
en Siguiente.
4. En la página Tareas que se delegarán, haga clic en Crear una tarea
personalizada para delegar y haga clic en Siguiente.
5. En la página Tipo de objeto de Active Directory, haga clic en Sólo los
siguientes objetos en la carpeta y a continuación active la casilla Equipo
objetos.
6. Active las casillas Crear los objetos seleccionados en esta carpeta
y Eliminar los objetos seleccionados en esta carpeta y haga clic
en Siguiente.
7. En la página Permisos, active la casilla General.
8. Debajo de Permisos, active las casillas Leer y Escribir y haga clic
en Siguiente.
clic en Finalizar.
! Probar los permisos de la unidad organizativa Equipos

1. Cierre CustomMMC y ábrala de nuevo sin utilizar el comando Ejecutar
como.
2. En Usuarios y equipos de Active Directory, cree una cuenta de equipo
usando los parámetros siguientes:
• Ubicación: Locations/NombreEquipo/Equipos
• Nombre de la cuenta de equipo: las tres primeras tres letras de la ciudad
y Test (por ejemplo: LonTest)
Debe poder crear una cuenta de equipo en la unidad organizativa
Locations/NombreEquipo/Equipos.
3. Cierre Usuarios y equipos de Active Directory.
! Delegar el control de la unidad organizativa Usuarios

1. Abra Usuarios y equipos de Active Directory con el comando Ejecutar
como mediante la cuenta NombreEquipoAdmin.
2. Vaya hasta su unidad organizativa NombreEquipo, haga clic con el botón
secundario del mouse en Usuarios y a continuación en Delegar control.
en Siguiente.
4. En la página Usuarios o grupos, agregue NombreEquipoUser y haga clic
en Siguiente.
5. Delegue las siguientes tareas comunes:

• Restablecer contraseñas de usuario y forzar el cambio de contraseña
• Leer toda la información de los usuarios
6. Haga clic en Siguiente y, a continuación, en Finalizar.
! Probar los permisos de la unidad organizativa Usuarios

1. Cierre CustomMMC y ábrala de nuevo sin utilizar el comando Ejecutar
como.
2. En Usuarios y equipos de Active Directory, vaya hasta la unidad
organizativa Locations/NombreEquipo/Usuarios.
3. Intente eliminar una cuenta de usuario.
No debería poder hacerlo.
4. Intente habilitar o deshabilitar cualquier cuenta de usuario.
No debería poder hacerlo.
5. Restablezca la contraseña de cualquier usuario.
Debe poder restablecer la contraseña de cualquier cuenta de usuario
de la unidad organizativa Locations/NombreEquipo/Usuarios.
Práctica A: Administrar el acceso a los objetos de las

unidades organizativas
Objetivos Después de completar esta práctica podrá administrar el acceso a los objetos
en las unidades organizativas.
Instrucciones Antes de comenzar esta práctica:
LondonAdmin).
Active Directory.
Tiempo previsto para

completar esta práctica:
15 minutos
Ejercicio 1
Delegar el control administrativo
En este ejercicio delegará el control administrativo de los objetos de una unidad organizativa.
Situación
Northwind Traders desea que todo el personal de TI pueda crear, eliminar y modificar los grupos
de todas las unidades organizativas de ciudad. Debe delegar la autoridad de su unidad organizativa
NombreEquipo para habilitar un grupo global denominado G NWTraders IT Personnel con
permisos para crear, eliminar y administrar grupos y para modificar la pertenencia a un grupo.
Tareas Instrucciones específicas
1. Delegar el control a. Unidad organizativa: nwtraders.msft/Locations/NombreEquipo/Grupos

de la unidad organizativa b. Usuarios o grupos: G NWTraders IT Personnel
NombreEquipo/Grupos.
c. Tareas que se delegarán:
• Crear, eliminar y administrar grupos
• Modificar la pertenencia a un grupo
Ejercicio 2
Documentar la seguridad de un objeto creado en una unidad
organizativa
En este ejercicio documentará la configuración de seguridad del objeto creado en la unidad
organizativa delegada.
Situación
Acaba de crear muchos grupos en una unidad organizativa delegada y se le ha pedido que
documente los permisos heredados por uno de los grupos. Escriba la información en la siguiente
tabla para documentar los permisos del grupo.
Tareas Instrucciones específicas
1. Documentar los permisos " Anote los permisos especiales del grupo G NWTraders IT Personnel.
especiales de un grupo __________________________________
creado en una unidad
organizativa delegada. Crear objetos de grupo y eliminar objetos de grupo
THIS PAGE INTENTIONALLY LEFT BLANK

Modulo 7

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modulo 7

Caricato da

Copyright:

Formati disponibili

Módulo 7: Administrar

el acceso a los objetos

© 2003, Microsoft Corporation. Reservados todos los derechos.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN,

Notas para el instructor

Material necesario Para impartir este módulo, necesitará el material siguiente:

Tareas de preparación Para preparar este módulo, debe:

Cómo impartir este módulo

Páginas de instrucciones, ejercicios y prácticas

Presentación multimedia: La estructura de unidades organizativas

Lección: Modificar los permisos de los objetos de Active Directory

Lección: Delegar el control de las unidades organizativas

Práctica A: Administrar el acceso a los objetos de las unidades

Presentación multimedia: La estructura de unidades

Lección: Modificar los permisos de los objetos de

¿Qué son los permisos de los objetos de Active Directory?

Características de los permisos de objeto de Active Directory

Herencia de permisos en los objetos de Active Directory

Efectos de modificar los objetos en la herencia de permisos

Nota Al modificar objetos de Active Directory pueden moverse varios objetos

¿Cómo modificar los permisos de los objetos de Active Directory?

Procedimiento para Para modificar un permiso existente:

Procedimiento para Para modificar la herencia de permisos:

¿Qué son los permisos efectivos para los objetos de

¿Cómo determinar los permisos efectivos para los objetos

Ejercicio: Modificar los permisos de los objetos de Active Directory

Instrucciones Antes de comenzar este ejercicio:

Situación El ingeniero de sistemas de Northwind Traders ha delegado el control

Ejercicio ! Documentar la seguridad de la unidad organizativa de su ciudad

Ejemplo: Operadores de cuentas S

! Quitar permisos heredados

! Documentar los cambios de seguridad de la unidad organizativa

Ejemplo: Operadores de cuentas

Lección: Delegar el control de las unidades organizativas

¿Qué es la delegación de control de una unidad organizativa?

El Asistente para delegación de control

Nota El Asistente para delegación de control puede anexar permisos a una

¿Cómo delegar el control de una unidad organizativa?

4. En la página Tareas que se delegarán, especifique una o varias de las

Nota Se puede delegar una tarea personalizada en usuarios o grupos

5. Haga clic en Siguiente.

Ejercicio: Delegar el control de una unidad organizativa

Instrucciones Antes de comenzar este ejercicio:

Ejercicio ! Delegar el control de la unidad organizativa Equipos

! Probar los permisos de la unidad organizativa Equipos

! Delegar el control de la unidad organizativa Usuarios

5. Delegue las siguientes tareas comunes:

! Probar los permisos de la unidad organizativa Usuarios

Práctica A: Administrar el acceso a los objetos de las

Tiempo previsto para

Tareas Instrucciones específicas

1. Delegar el control a. Unidad organizativa: nwtraders.msft/Locations/NombreEquipo/Grupos

Tareas Instrucciones específicas

Potrebbero piacerti anche